La sécurité des conséquences de la désactivation de CURLOPT_SSL_VERIFYHOST (libcurl/openssl)

Quelles sont les conséquences sur la sécurité de l'Activation CURLOPT_SSL_VERIFYPEER et la Désactivation de la CURLOPT_SSL_VERIFYHOST?

OriginalL'auteur user1782427 | 2012-12-06

  1. 26

    • CURLOPT_SSL_VERIFYPEER vérifie que la distance certificat est valide, c'est à dire que vous avez confiance qu'il a été émis par une autorité de certification de confiance et qu'elle est véritable.

    • CURLOPT_SSL_VERIFYHOST vérifie que le cert a été attribué à l'entité que vous vouliez parler.

    De le comparer à un scénario de la vie réelle, VERIFYPEER est comme la vérification de la forme de l'ID est celui que vous reconnaître (c'est à dire passeport d'un pays en qui vous avez confiance, le personnel de la carte à partir d'une entreprise que vous connaissez, ...). VERIFYHOST est comme vérifier le nom sur la carte correspond à qui vous vouliez parler.

    Si vous n'utilisez pas VERIFYHOST (la valeur correcte est 2, pas 1, btw), vous désactivez la vérification du nom d'hôte et d'ouvrir la porte à des attaques de type MITM: toute personne ayant une forme d'identité qui vous avez confiance peut usurper l'identité de toute personne au sein de l'ensemble des Identifiants qui vous avez confiance, par exemple, n'importe qui avec un passeport valide ne peut prétendre qu'ils sont quelqu'un d'autre avec un passeport valide.

    Merci pour élaboré réponse. Cela me mène à une autre questions: j'ai un site web avec un certificat SSL valide https ://www.example.com (cn=www.example.com comme il se doit). Lorsque je visite le site via son adresse IP, il va me montrer cert erreurs (parce que le cn ne correspondent pas), suppression de la SSL_VERIFYHOST les résoudre, mais s'ouvre à des attaques de type MiTM. Quelle est la bonne solution pour faire face à cela? (permet de connecter via une adresse IP SANS montrer les erreurs). Le remplacement de l'ensemble de la méthode de validation à l'aide de CURLOPT_SSL_CTX_FUNCTION uniquement pour vérifier qu'une adresse IP spécifique correspond à un CN?
    Pourquoi voulez vous connecter avec l'adresse IP? Il il un certificat de votre propre autorité de certification (ou auto-signé)?
    J'ai 2 serveurs (1.1.1.1 et 2.2.2.2), le DNS pour example.com contient 2 dossiers (de ces adresses ip). Le client de choisir au hasard l'un d'entre eux et de se connecter à l'adresse IP et non pas au nom d'hôte. Je voudrais openSSL de m'appeler quand il vérifie le champ nom commun, donc je peux comparer le certificat nom commun avec example.com si c'est ok, je vais accepter le certificat. Je n'ai pas vu que libcurl soutient que donc je suppose que je dois écrire ma propre mise en œuvre. Le certificat de example.com est une de confiance Verisign cert.

    OriginalL'auteur Bruno